Давайте проясним что вы понимаете под термином "development server".
Я обычно думаю о таких вещах в терминах environments - есть Dev Environment где девелоперы ведут разработку и гоняют ранние тесты как часть процесса разработки - это включает Dev workstations, но может включать и например тестовые VMы используемые девами в процессе разработки, бывает в dev env есть и тестовый сервер используемый для экспериментов и местного тестирования. In terms of security, ключевыми характеристиками dev env является весьма свободный доступ без особых контролов - девы обычно имеют админ аккаунты (как правило необходимо для процесса разработки), могут использоваться всякие разные рандомные тулзы, network isolation как правило нет или она очень слабая, identity isolation разумеется тоже нет (и ни о каких secure admin workstations и речи быть не может), security monitoring рудиментарная (или вообще нет) и т.д.
Бывает еще integration testing env - отдельный env похожий на prod но предназначенный для полного тестирования. Тут секьюрити может быть чуть получше, но только чуть - много людей имеют standing admin access, могут использовать всякие рандомные тулзы (для дебаггинга), identity isolation нет, network isolation может быть а может и не быть, security monitoring обычно рудиментарная. Часто такие testing env еще и доступны из интернета (для полноценного тестирования часто это необходимо), что сильно повышает риски - а защит особо там нет. Бывают конечно исключения, но в 95% случаев такой env - первый кандидат для атак.
Ну и есть Prod - тут все понятно - identity isolation, network isolation, жесткий контроль доступа (JIT etc.), полноценная security monitoring и т.п.
В рамках этой таксономи, чем является development server о котором вы говорили?
... >>>Если утечка данных не катастрофична
Для практически любых компаний утечка данных кастомеров - одна из самых плохих возможных проблем, хуже чем утечка сорс кода. Утечка данных кастомеров у сколько-нибудь большой компании быстро попадет в новости. Да, и по нынешним правилам в большинстве западных стран - утечку данных пользователей держать в секрете невозможно, компании обязаны оповестить пользователей чьи данные утекли с понятными последствиями.
Понятно что если речь идет о каком-нибудь студенческом проекте а не о коммерческом сервисе то проблем намного меньше, но даже в студенческом проекте проблемы могут быть неиллюзорными, особенно если аттакеры ломанут прод используя информацию из тест env - что часто происходит.
Re: Restore backup on development server
Я обычно думаю о таких вещах в терминах environments - есть Dev Environment где девелоперы ведут разработку и гоняют ранние тесты как часть процесса разработки - это включает Dev workstations, но может включать и например тестовые VMы используемые девами в процессе разработки, бывает в dev env есть и тестовый сервер используемый для экспериментов и местного тестирования. In terms of security, ключевыми характеристиками dev env является весьма свободный доступ без особых контролов - девы обычно имеют админ аккаунты (как правило необходимо для процесса разработки), могут использоваться всякие разные рандомные тулзы, network isolation как правило нет или она очень слабая, identity isolation разумеется тоже нет (и ни о каких secure admin workstations и речи быть не может), security monitoring рудиментарная (или вообще нет) и т.д.
Бывает еще integration testing env - отдельный env похожий на prod но предназначенный для полного тестирования. Тут секьюрити может быть чуть получше, но только чуть - много людей имеют standing admin access, могут использовать всякие рандомные тулзы (для дебаггинга), identity isolation нет, network isolation может быть а может и не быть, security monitoring обычно рудиментарная. Часто такие testing env еще и доступны из интернета (для полноценного тестирования часто это необходимо), что сильно повышает риски - а защит особо там нет.
Бывают конечно исключения, но в 95% случаев такой env - первый кандидат для атак.
Ну и есть Prod - тут все понятно - identity isolation, network isolation, жесткий контроль доступа (JIT etc.), полноценная security monitoring и т.п.
В рамках этой таксономи, чем является development server о котором вы говорили?
...
>>>Если утечка данных не катастрофична
Для практически любых компаний утечка данных кастомеров - одна из самых плохих возможных проблем, хуже чем утечка сорс кода. Утечка данных кастомеров у сколько-нибудь большой компании быстро попадет в новости. Да, и по нынешним правилам в большинстве западных стран - утечку данных пользователей держать в секрете невозможно, компании обязаны оповестить пользователей чьи данные утекли с понятными последствиями.
Понятно что если речь идет о каком-нибудь студенческом проекте а не о коммерческом сервисе то проблем намного меньше, но даже в студенческом проекте проблемы могут быть неиллюзорными, особенно если аттакеры ломанут прод используя информацию из тест env - что часто происходит.